Page de titre
-
Audit de l'Organisation
-
Réalisé le
-
Conduit par
I - SENSIBILISER ET FORMER
1 - Former les équipes opérationnelles à la sécurité des systèmes d’information
-
Les équipes opérationnelles suivent-elles, à leur prise de poste puis à intervalle régulier, des formations à la sécurité des données ?
-
Ces formations portent sur les aspects techniques (paramétrage fin et durcissement des systèmes, cloisonnement réseau, la journalisation, ...)
-
Ces formations portent sur les aspects organisationnels (risques et menaces, maintien en condition de sécurité, authentification, contrôle d'accès, ...)
-
Ces formations portent sur les aspects réglementaires (législation en vigueur, règlementations applicables, RGPD, certifications et labels de l'organisation ...)
-
Existe-t-il des clauses spécifiques dans les contrats de prestation pour garantir le niveau de formation à la sécurité du personnel externe ou des infogérants ?
2 - Sensibiliser les utilisateurs aux bonnes pratiques élémentaires
-
Existe-t-il des séances de sensibilisation ou de formation à la sécurité des SI à l'arrivée d'un collaborateur ?
-
Les sujets sont-ils contextualisés par rapport au fonctionnement de l'Organisation et son contexte ?
-
Lesquels sont abordés parmi les sujets suivants ?
-
objectifs et enjeux
-
classification des informations ( standards, sensibles, confidentielles, ...)
-
respect des règles de sécurité du quotidien (BYOD, mots de passe, signalement d'évènements suspects, verrouillage de session, outils validés par l'Organisme, ...)
-
Existe-t-il des séances de sensibilisation ou de formation à la sécurité des SI de façon récurrente ?
-
Les actions de sensibilisation sont-elles adaptées aux utilisateurs ciblés ?
-
Lesquels sont abordés parmi les sujets suivants ?
-
objectifs et enjeux
-
classification des informations ( standards, sensibles, confidentielles, ...)
-
respect des règles de sécurité du quotidien (BYOD, mots de passe, signalement d'évènements suspects, verrouillage de session, outils validés par l'Organisme, ...)
-
Une charte utilisateur des moyens informatique existe-t-elle ?
-
Cette charte inclus-t-elle les règles et consignes de sécurité que doivent respecter les collaborateurs ?
3 - Maîtriser les risques de l'infogérance
-
Dans le cadre de l'infogérance, les besoins et mesures de sécurité exigées font-elles partie du cahier des charges (ou appel d'offre) fourni au prestataire ?
-
Les exigences suivantes de sécurité font-elles parties des cahiers de charges/appels d'offre ?
-
Pouvez lister les exigences ci-après faisant partie des cahiers des charges ?
-
la réversibilité des services
-
la sauvegarde des données, sécurisées et chiffrées
-
la restitution des données dans un format normalisé
-
l'audit des services
-
Pour chaque prestataire, disposez-vous d'un Plan d'Assurance Sécurité (PAS) en cohérence avec les exigences du cahier des charges/appel d'offres ?
II - CONNAÎTRE LE SYSTÈME D’INFORMATION
4 - Identifier les informations et serveurs les plus sensibles Maintenir un schéma réseau
-
Avez-vous définie la notion de données sensibles, en particulier dans le cadre du règlement européen sur la protection les données personnelles
-
Possédez vous une cartographie de vos données, en particulier les données sensibles
-
Existe-t-il un schéma réseau/une cartographie simplifié à jour sur le périmètre des données sensibles ?
-
Préciser les informations incluses dans cette cartographie :
-
d'identifier les zones IP et le plan d'adressage IP
-
les équipements réseau (pare-feu, reverse proxi, commutateurs, routeurs ...)
-
d'identifier les point de connexion avec l'extérieur (internet, VPN partenaires ...)
-
de localiser les serveurs et les espaces de stockages concernés par les traitements, la sauvegarde ou le stockage des données sensibles
-
Existe-t-il une procédure de revue documentaire et "d'audit" récurrent de cette cartographie
5 - Disposer d'un inventaire exhaustif et à jour des comptes privilégiés
-
Disposez-vous de la liste des utilisateurs à forts privilèges (administrateurs, super utilisateurs, ...) ?
-
Disposez-vous de la liste des utilisateurs disposant des droits d'accès aux ressources des responsables/VIP ?
-
Faites-vous un revue périodique des droits d'accès ?
-
Disposez-vous d'une nomenclature de nommage des comptes (ADM_, SRV_, ...) ?
6 - Gestion de flux RH
-
Existe-t-il des flux d'information des évènements RH en vue de la gestion des droits et des habilitations (Politique du moindre privilège)
Ces flux traitent-ils d'événements suivant :
-
Création/Suppression des comptes et BAL
-
Gestion des droits et des habilitations
-
Gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.)
-
Gestion des accès physiques aux locaux
-
Affectation/restitution des équipements mobiles
-
Les procédures sont-elles formalisées, et mise à jour en fonction du contexte ?
-
Une équipe est-elle dédiée à la Gestion des accès et habilitations ?
7 - Maîtrise des équipements connectés
-
La connexion au réseau de l'organisation (WiFi, filaire) des équipements personnels estelles encadrée ?
-
Existe-t-il un réseau WiFi dédié pour les terminaux personnels ou les visiteurs ?
-
Les utilisateurs sont-ils sensibilisés aux risques qu'ils font courir à l'organisation en recourant au BYOD ?
-
Le filtrage d'adresse MAC est-il en œuvre ?
-
Un dispositif d’authentification des postes sur le réseau est-il en œuvre ?
III - AUTHENTIFIER ET CONTROLER LES ACCÈS
8 - Gestion des utilisateurs
-
Disposez-vous de comptes génériques (hors admin, comptes de services, ...) ?
-
Les comptes génériques peuvent-ils être rattachés à un nombre restreints de personnes ?
-
Les administrateurs disposentils d'un compte utilisateur et d'un compte d'administration protégés par 2 mots de passe différents ?
-
La journalistion des connexions (réussies ou en échec) estelle effective ?
9 - Attribution des droits sur les ressources sensibles
-
Pour chacune des ressources contenant des données sensibles, avez-vous :
-
Définie les droits d'accès (population d'utilisateur)
-
La capacité à contrôler les accès, et en particulier ceux interdits
-
La capacité à maîtriser les copies des informations en des endroits non maîtrisés
-
Disposez-vous d'outils de gouvernance de la données
-
Disposez-vous d'outils de détection et d'alerte pour les incidents de sécurité
10 - Mots de passe
-
Les utilisateurs sont-ils sensibilisé (maison/travail, robustesse, stockage de mots de passe) ?
-
Avez-vous fixé une durée de vie des mots de passes (en particulier ceux de connexion au SI/AD) ?
-
Qu'elle est-elle ?
-
Les comptes sontils bloqués à l'issue de plusieurs échecs de connexion ?
-
Faites-vous régulièrement un audit de robustesse des mots de passe ?
-
Disposez-vous d'une politique formalisée des mots de passe ?
-
Les journaux de connexion sont-ils analysé pour détecter des tentatives de connexion frauduleuse dans les 24h suivant la tentative ?
11 - Protection de mots de passe
-
Un outils de type coffre-fort numérique est-il utilisé ?
-
L'usage estil répandu dans tous les métiers ?
12 - Mots de passe par défaut
-
Les éléments d'authentification par défaut des composants du SI sont-ils modifiés dès l'installation ?
-
La robustesse de ces mots de passe est-elle conforme à la politique de l'Organisation (dimension, complexité, règle de stockage
-
Les mots de passe d'administration des équipements sont-ils changés régulièrement ?
-
L'organisation dispose t'elle d'un outils de type coffrefort centralisé ?
13 - Privilégier une authentification forte
-
Utilisez-vous des mécanismes d'authentification forte au sein de l'Organisation ?
-
Une authentification forte correctement implémentée utilise au moins de 2 facteurs, pouvez-vous confirmer les facteurs utilisés parmi les suivants :
-
ce que je sais (mot de passe, signature, ...)
-
ce que je possède (carte à puce, jeton USB RFID, ...)
-
ce que je suis (empreinte biométrique)
IV - SÉCURISER LES POSTES
14 - Assurer un niveau de sécurité minimum sur tout le parc informatique
-
Avez-vous la maîtrise des applications installées sur le parc utilisateurs ?
-
Avez-vous la maîtrise des modules optionnels des navigateurs web ?
-
Les postes utilisateurs disposent-ils d'un antivirus ?
-
Les partitions stockant les données utilisateurs sont-elles chiffrées (à défaut, au moins pour les VIP) ?
-
L'exécution des autorun est-elle désactivée ?
-
Les données vitales au bon fonctionnement de l'entreprises sont-elles sauvegardées régulièrement, qu'elles soient sur les postes utilisateurs ou les serveurs ?
-
Les sauvegardes sont-elles sécurisées (chiffrées, déconnectées) ?
-
La restauration des données est-elle également vérifiées de manière périodique ?
15 - Menaces relatives à l'utilisation de supports amovibles
-
L'utilisation de supports amovibles USB estelle autorisée (port USB non bloqués) ?
-
Les utilisateurs sont-ils sensibilisés aux bonnes pratiques d'utilisation de ce type de support (clés ramassées notamment, exécution de programme, chiffrement) ?
-
Disposez-vous de solution d'interdiction d'exécution de programmes sur les périphériques amovibles (Applocker, option noexec Linux) ?
-
Disposez-vous d'une procédure de mise au rebut spécifique aux supports amovibles ?
16 - Outils de gestion centralisé
-
Disposez-vous d'un outils de gestion centralisé (type AD ou LDAP) ?
-
Les postes de travail sontils inscrit dans cet outils ?
-
Estce que les configurations par défaut des OS et applications sontelles modifiées ?
-
Avezvous mis en œuvre des règles de sécurité centralisées (type GPO) ?
17 - Parefeu local des postes de travail
-
Les parefeu locaux des postes de travail sont-ils activés ?
-
La matrice des flux entrants sur les postes de travail est-elle disponible ?
-
Les règles respectent elles le principe "tout est bloqué sauf ce qui est explicitement autorisé" mise en place de "liste blanche" ?
-
Les flux bloqués sontils journalisés et exploités ?
-
Des audits de configuration sontils régulièrement fait ?
18 - Chiffrement des données sensibles transmises par internet
-
Les mail contenant des données sensibles sont-ils chiffrés avant expédition ?
-
Les données transmises par des plateformes dans le Cloud (SaaS) sont-elles chiffrées ?
-
La transmission des secrets de déchiffrement est-elle faite par un canal de confiance ou différents de celui utilisé pour l'envoi des données sensibles (SMS, appel, ...) ?
V - SÉCURISER LE RÉSEAU
19 - Segmenter et cloisonner le réseau
-
Le réseau est-il segmenté en zones regroupant des besoins de sécurité homogènes ?
-
Le réseau d'administration estil bien séparé des autres VLAN ?
-
Le routage inter VLAN est-il filtré au moyen d'un parefeu ?
-
Les base de données sont-elles dans un VLAN spécifique ? (renforcement RGPD)
-
Les zones concernant les données critiques sont-elles sur des infrastructures dédiées ?
20 - Réseaux WiFi
-
Existe-t-il un SSID spécifique pour le réseau invité ?
-
Le réseau WiFi et tout particulièrement le réseau invité sont-ils dans des VLAN spécifiques et filtrés par parefeu ?
-
Le chiffrement utilise-t-il un algorithme robuste (mode WPA2, algorithme AES CCMP, ...) ?
-
Quel est le niveau de complexité de la passphrase du SSID ?
-
L'authentification des équipements de l'organisation est-elle faire par certificats clients ?
21 - Utiliser des protocoles réseaux sécurisés
-
Les applications utilisent-elles des protocoles sécurisés (ex: TLS pour faire du HTTPS) ?
-
Les protocoles de connexion à distance sont-ils sécurisés (ssh, prise de main à distance, transfert de fichiers, ...) ?
-
L'obsolescence de ces protocoles est-elle contrôlée (ex: arrêt de l'utilisation de TLS 1.1) ?
22 - Passerelle d'accès à internet
-
L'accès à internet utilise-t-il un serveur mandataire (proxy) ?
-
L'accès à internet est-il filtré (parefeu) ?
-
L'accès au contenu est-il filtré ?
-
La navigation est-elle authentifiée et la journalisation effective ?
-
Le proxy dispose-t-il d'un antivirus d'analyse de contenu ?
-
La résolution DNS est-elle assurée par le proxy (plutôt que par les postes clients) ?
-
Les postes nomades utilisent ils la passerelle de l'entreprise via une connexion sécurisée pour naviguer sur Internet ?
23 - Cloisonner les services visibles depuis l'internet
-
Disposez-vous de services informatiques exposées sur Internet dans votre SI ?
-
Ces services sont-ils cloisonnés par rapport au SI de l'organisation ?
-
Les flux provenant d'Internet se font-ils au travers d'un Reverse Proxy ?
-
Disposez-vous de mécanismes de protection et d'analyse des flux applicatifs (WAF) ?
-
Les applications qui n'ont pas à être connectées à Internet sont-elles bien isolées des autres applications ?
-
Les flux internes et les flux externes sont-ils filtrés de manière distincte ?
24 - Messagerie professionnelle
-
Les utilisateurs sont-ils sensibilisés sur les dangers de la messagerie et les bonnes pratiques d'utilisation (expéditeur, lien, message douteux, ...) ?
-
Un guide des usages et bonnes pratiques de la messagerie existe-t-il ?
-
Le système de messagerie dispose-t-il d'un systèmes antivirus ?
-
Les flux de messagerie sont-ils sécurisés (TLS entre serveurs et postes utilisateurs) ?
-
Existe-t-il un serveur de relai dédié à l'envoi et la réception des messages en coupure d'Internet ?
-
Le système de messagerie dispose-t-il d'une protection antispam ?
-
Est-ce que des mécanismes de vérification d’authenticité sont en place ?
-
Quels sont les mécanismes déployés ?
-
Gestion DNS
-
Gestion MX
-
Implémentation de SPF
-
Implémentation de DKIM
-
Implémentation de DMARC
-
Implémentation de BIMI
25 - Sécuriser le interconnexions avec les partenaires
-
La connexion partenaire utilise t'elle un protocole sécurisé (VPN IPSec, ...) ?
-
Disposez-vous de la matrice des flux partenaires ?
-
Les interconnexions partenaires sont-elles filtrées (parefeu) ?
-
Disposez-vous d'un filtrage IP pour les connexions partenaires entrantes ?
-
Disposez-vous d'un équipement de détection d'intrusions (IDS / IPS) ?
-
En cas d'incident de sécurité, disposez-vous d'un point de contact chez chaque partenaire ?
26 - Contrôle d'accès physiques
-
L'accès aux locaux techniques sont-ils contrôlés (serrures, badges, ...) ?
-
L'intervention des prestataires dans les locaux techniques sont-ils toujours encadrés par un collaborateur de l'organisation ?
-
L'accès aux locaux techniques est journalisé ?
-
L'exploitation des journaux est-elle effective (tentative d'accès infructueuse, accès en dehors des horaires normaux, ...) ?
-
Une revue régulière des habilitations d'accès est-elle faite ?
-
La gestion des changements de collaborateurs ou de prestataire est-elle effective pour le systèmes de contrôle d'accès ?
-
Les prises réseau situées dans les zones ouvertes au public sont-elles restreintes (VLAN dédié) ou désactivées ?
-
Les utilisateurs sont-ils sensibilisés aux risques engendré par le contournement des règles d'accès ?
VI - SÉCURISER L’ADMINISTRATION
27 - Interdire l'accès à internet depuis les postes/serveurs utilisés pour l'administration
-
Les postes utilisés pour l'administration du SI ont-ils accès à internet ?
-
Les administrateurs disposent-ils d'un poste de travail standard et un poste spécifique à l'administration du SI ?
-
La mise à jour des logiciels des postes dédiés à l'administration est-elle réalisées avec des sources sûres (directement récupérées de l'éditeur par exemple) ?
28 - VLAN d'administration
-
Disposez-vous d'un réseau d'administration dédié (VLAN) ?
-
Les flux sur ce réseau sont-ils systématiquement chiffrés ?
-
Disposez-vous d'un réseau d'administration physiquement dédié ?
29 - Droits d'administration des postes de travail
-
Les utilisateurs sont-ils administrateur de leur poste de travail ?
-
Les délégation de privilèges sur un poste de travail sont-elles tracées et limitées dans le temps et retirées à échéance ?
VII - GÉRER LE NOMADISME
30 - Sécuriser les terminaux nomades
-
Les utilisateurs sont sensibilisés sur l'utilisation des terminaux mobiles, notamment lors des déplacements ?
-
Les utilisateurs sont-ils informés de la procédure à suivre dans le cadre d'un vol de terminal (avertir l'Organisation, dépôt de plainte, ...) ?
-
Les terminaux mobiles permettent-ils d'identifier l'organisation ?
-
Les terminaux mobiles sont-ils munis d'un filtre de confidentialité ?
-
Les supports externes complémentaires (carte à puce ou jeton USB par exemple) qui conservent les secrets de déchiffrement ou d’authentification sont-ils conservés à part ?
31 - Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable
-
Les terminaux mobiles sont-ils chiffrés ?
-
L'accès aux données sensibles stocker sur un terminal mobile est-il protégé par un secret ?
32 - Sécuriser la connexion des postes nomade
-
Les terminaux nomades utilisent-ils une connexion de type VPN Ipsec pour se connecter à une passerelle mise à disposition par l'Organisation ?
-
Ce tunnel est-il automatiquement établi sans que l'utilisateur ne puisse le débrayer ?
-
Lorsqu'il n'y a pas de VPN, les utilisateurs utilisent ils un partage de connexion via un terminal mobile de confiance (téléphone, modem 4G/5G) ?
-
Est-ce qu'un mécanisme d'authentification forte est implémenté ?
33 - Politique de sécurité
-
Une politique de sécurité spécifique aux terminaux mobiles existe-t-elle ?
-
Les terminaux sont-ils utilisés uniquement pour des fins professionnelles (pas de compte personnel sur le même terminal) ?
-
Existe-t-il une application de gestion des terminaux mobiles ?
-
La liste des applications validées par l'organisation et le contrôle associé des terminaux est-il en place ?
VIII - MAINTENIR LE SYSTÈME D’INFORMATION À JOUR
34 - Politique de gestion des correctifs
-
Etes-vous inscrit dans des groupes d'intérêt/newsletter d'information sur les vulnérabilités autour de votre périmètre technique et applicatif (exemple : le CERT-FR) ?
-
Disposez-vous d'une politique à jour de gestion des correctifs couvrant la totalité des briques technique de votre SI ?
-
Disposez-vous des procédures opérationnelles attenantes à cette politique de gestion des correctifs ?
-
Au delà de la formalisation, effectuez vous des mises à jour régulières de tout ou partie de votre SI ?
-
La diffusion des correctifs s'appuie-t-elle sur des outils dédiés (Microsoft WSUS, SSCM ou autre) ?
-
Disposez-vous de tableau de bord de suivi du niveau de mise à jour de votre SI ?
-
Est-il prévu d'isolés du reste du SI les composants obsolètes de votre SI ?
35 - Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles
-
Disposez-vous d'un inventaire exhaustif et à jour des systèmes et applications de votre SI ?
-
La durée du support produit est-elle prise en compte dans les critères de sélection des solutions ?
-
Avez-vous un suivi de fin de vie des logiciels et des dates de supports ?
-
Assurez-vous une démarche de convergence technique pour éviter de faire coexister des versions différentes d'un même produits/logiciel ?
-
Existe-t-il des adhérences logicielles dans votre SI vous imposant de conserver d'ancienne version de briques techniques ?
-
Dans vos contrats avec des prestataires, fournisseurs, existe-t-il des clauses concernant le suivi des correctifs, les tableaux de bords de restitutions et la gestion des obsolescences ?
-
La gestion de l'obsolescence est-elle traitée comme un projet (gestion des délais, ressources, tests…) ?
IX - SUPERVISER, AUDITER, RÉAGIR
36 - Activer et configurer les journaux des composants essentiels
-
Les composants critiques de votre SI sont-ils identifiés et cartographiés (parefeu, reverse proxy, serveurs critiques, postes de travail des VIP, ...) ?
-
Ces composants critiques sont-ils synchronisés sur une source de temps fiable (NTP par exemple) ?
-
Ces composants critiques génèrent-ils des journaux exploitables ?
-
Les évènements critiques pour la sécurité sont-ils journalisés et conservé en fonction des obligations légales (pendant 1 an minimum) ?
-
=> paquets bloqués par les parefeu => =>
A minima, les journaux doivent être constitués de :
-
paquets bloqués par les parefeu
-
authentifications et autorisations au niveau systèmes et applications (succès, échecs, arrêts inopinés…)
-
erreurs de protocoles (ex : erreurs HTTP) traçabilité des flux (URL, entêtes mail)
-
Les journaux sont-ils centralisé sur un serveur de journaux sécurisé ?
-
Les journaux sont-ils exploités pour permettre de créer un événement de sécurité dans le système de gestion des incidents dans les 24 h après sa survenue ?
37 - Définir et appliquer une politique de sauvegarde
-
Avez-vous formalisé une politique de sauvegarde (formel ou non) définissant les exigences et les délai de restauration sur incident ?
-
A défaut d'être formalisés dans une politique de sauvegarde, avez-vous une maîtrise/connaissance des sauvegardes de l’Organisation ?
-
la liste des données jugées vitales pour l'organisme et leurs supports
-
la fréquence des sauvegardes
-
la procédure d'administration et d'exécution des sauvegardes
-
les procédures de tests de restauration
-
la destruction des supports
-
Des tests de restauration des sauvegardes sont-ils fait ?
-
À quelle fréquence (journalière, hebdomadaire, ...)
-
Dans quelle circonstance ?
-
systématique, par un ordonnanceur de tâches pour les applications importantes
-
ponctuelle, en cas d’erreur sur les fichiers
-
générale, pour une sauvegarde et restauration entières du système d’information
-
Un exercice annuel de restauration est-il fait ?
-
Cet exercice fait-il l'objet d'un rapport technique et d'un plan d'amélioration ?
-
Une copie des sauvegardes est-elle externalisée ?
38 - Audits réguliers
-
Procédez-vous à un audit régulier de votre SI permettant d'évaluer les écarts vs les bonnes pratiques ?
-
À quelle fréquence ?
-
Un plan d'action annuel découlant de cet audit est-il réalilsé, piloté … ?
-
Existe-t-il des tableaux de bords, indicateurs de mesure d'avancement de ce plan d'action ?
39 - Désigner un référent
-
Votre organisation a-t-elle désignée un référent en sécurité des systèmes d'information soutenu par la direction ou toute instance décisionnelle ?
-
Tous les utilisateurs ont-ils connaissance de ce référent, de son rôle et responsabilité, et des moyens de le joindre ?
-
Quels sont les éléments connus par tous les utilisateurs ?
-
définition des règles à appliquer selon le contexte
-
vérification de l’application des règles
-
sensibilisation des utilisateurs et définition d’un plan de formation des acteurs informatiques
-
centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs
-
Ce référent est-il régulièrement formés à la sécurité des SI et à la gestion de crise ?
40 - Gestion des incidents de sécurité
-
Les utilisateurs sont-ils sensibilisés aux bonnes pratiques en cas d'incident de sécurité (débrancher la machine du réseau et la laisser sous tension) ?
-
Les processus d'alerte de la hiérarchie sont-ils formalisés, connues des collaborateurs ?
-
Tous les incidents de sécurité sont-ils consignés dans un registre centralisé pour faciliter l'analyse et la reponse à l'incident (mesures, dépôt de plainte,…) ?
-
Des tests sont-ils réalisés (chiffrement de données, comportement anormal du poste de travail) pour sensibiliser les utilisateurs ?